В марте был опубликовано исследование, проведенное специалистами компании Gartner,- Magic Quadrant for User Authentication 2013. С данным исследованием будет полезно ознакомиться специалистам компаний интеграторов, предлагающих услуги в области ИБ, а так же сотрудникам компаний, планирующих применять технологии строгой аутентификации пользователей.

В исследовании фигурирует двадцать одна компания, пороведен анализ их сильных и слабых сторон. На основе этого анализа компании разделены на четыре категории

1. Нишевые игроки
2. Визионеры
3. Кандидаты
4. Лидеры

Отметим, что только три компании, представленные в исследовании, присутствуют на Российском рынке решений для аутентификации. Это компании Gemalto, HID Global и SafeNet. Продукты таких монстров как Oracle и IBM заслуженно не вошли в исследование, так как не являются собственными разработками и не обладают уникальным функционалом.

Проедставленные в исследовании продукты поддерживают следующие пользовательские сценарии: доступ к рабочей станции и мобильному устройству, доступ сотрудников к локальной сети компании, приложениям и веб приложениям, удаленный доступ к веб ресурсам компании, VPN, HVD.

Отметим, что в исследовании уделено большое внимание технологиям аутентификации с помощью мобильных устройств. Если ранее это были в основном программные токены, генерирующие одноразовые пароли, то сейчас на первое место вышли другие сценарии. Например такие как сообщения и звоники с одноразовыми паролями и пуш нотификация на мобильном устройстве для подтверждения аутентификации.

Ключевые силы, действующие на рынок по мнению исследователей: Облачные вычисления, Мобильные технологии, Доступность больших объемов информации (big data), Социальные сети и взаимодействие.

Рынок решений для аутентификации пользователей оцениваеться специалистами Gartner в $2млрд. С ежегодным ростом более тридцати процетов.

По мнению исследователей, необходимость и ясность понимания заказчиками рынка аутентификации будет продолжать развиваться и взрослеть. Компании продолжат распознавать необходимость отказа от статичных паролей, которые не могут гарантировано аутентифицировать пользователей во всех необходимых сценариях доступа.

В апрельском номере журнала Information Security опубликовано подробное интервью Алексея Иванова, руководителя службы ИБ банка КИТ Финанс. В интервью Алексей делиться опытом внедрения и эксплуатации централизованной, биометричесой системы управления доступом к ИТ ресурсам банка.

Хотим поддержать практику обмена практическим опытом между специалистами отрасли, и с разрешения редакции приводим текст данного интервью. Так же отметим, что банк КИТ Финанс является одним из наших первых клиентов. Специалисты банка внесли заметный вклад в развитие наших продуктов участвуя в обсуждениях текущего и будущего функционала. На сегодня в банке внедрены все основные элементы управления логическим доступом Indeed Identity.

Пароль умер, да здравствует пароль!

Каждый месяц СМИ публикуют очередную новость о каком-нибудь крупном взломе, произошедшем на просторах всемирной паутины. «Очередную», потому что эти события уже давно перестали быть чем-то из ряда вон выходящее. Казалось бы, совсем недавно только ленивое информационное агентство не писало на тему взломов SONY или Anonymous. И вот уже новостная лента взрывается срочными сообщениями о взломе 250 000 аккаунтов в Twitter. В июне 2012 года в публичный доступ были выложены 165000 хешей паролей от аккаунтов пользователей популярной социальной сети Linkedin. Компания Rapid7 провела их анализ и составила небольшой отчёт, в котором показала, насколько предсказуемы мы при выборе паролей. Из года в год список «самых-самых» остаётся практически неизменным: password, 12345678, qwerty…Все вы хоть раз да сталкивались с подобными комбинациями, не правда ли? Спасают ли ситуацию сложные криптостойкие пароли? Сегодня уже нельзя с уверенностью ответить «нет». Эксперты консалтинговой компании Deloitte уверены, что более 90% паролей интернет-пользователей, в том числе те, которые создаются профессиональными программистами и специальными программами, уязвимы к хакерским атакам.

Всё это свидетельствует о том, что использование парольной политики, в классическом виде, не может гарантировать безопасность информационных систем. О том, есть ли выход, и что можно сделать в сложившейся ситуации, мы решили узнать у тех, для кого проблемы с паролями уже в прошлом. Сегодняшний гость – Иванов Алексей Александрович, начальник Управления информационной безопасности и контроля Департамента информационной безопасности и охраны компании КИТ Финанс.

– Скажите, как в вашей компании была решена проблема с парольным доступом?

– Проблема парольной защиты остро встала перед нами в период активного роста региональных (территориально–удаленных) офисов Банка. Именно тогда были выявлены попытки совершения мошенничества сотрудниками офисов при обслуживании клиентов. При этом, чтобы «запутать следы», сотрудники совершали такие действия, используя чужие учетные данные.

– Но откуда сотрудникам были известны данные авторизации коллег?

– Вариантов несколько. Во–первых, пароли часто передавались между сотрудниками просто по необходимости (нужно что–то срочно отправить, кто–то заболел и т.д.) и потом не менялись. Во–вторых, их элементарно можно было подсмотреть  визуально или в оставленном без присмотра блокноте. В–третьих, из–за стремительного увеличения количества различных автоматизированных систем (АС), предназначенных для обслуживания клиентов, увеличивалось и количество необходимых для запоминания паролей, так как эти системы обычно использовали собственные базы для идентификации пользователей. Но человек банально не способен держать в голове десяток–другой бессмысленных комбинаций, не говоря уже о том, чтобы каждый месяц этот список обновлять.

Конечно, со стороны отдела информационной безопасности постоянно проводились инструктажи и проверки по выполнению требований парольной политики. Однако в итоге мы поняли,  что её необходимо кардинально менять. Важным моментом при выборе встал вопрос выбора, как усилить технологию идентификации пользователя, так как любой отчуждаемый от сотрудника идентификационный  носитель (смарт–карта, БСК, токен и т.к.) не позволял гарантировать требуемую стойкость системы идентификации (средства многофакторной аутентификации терялись, ломались, могли быть скопированы). Оптимальным способом жесткого идентификационного контроля доступа была выбрана биометрия  на основе отпечатка пальца.

Во–первых, этот способ применяется ТОЛЬКО с ведома владельца учетной записи. А во–вторых, применение биометрии очень похоже на дактилоскопию и резко повышает ответственность сотрудника за свои действия в любой автоматизированной системе.

– Насколько вообще важна для вашего бизнеса централизация функции управления доступом и аутентификации?

– Финансовый сектор всегда являлся лакомым куском для различного рода мошенников, поэтому вопросы управления доступом  должны решаться централизованно, под контролем специализированного подразделения и с учетом всех изменений и рисков по направлению информационной безопасности. Мы выстроили свою политику таким образом, что все значимые для бизнеса АС используют усиленную систему идентификации пользователя с использованием биометрии. Этот принцип использован в технологии ESSO, когда все необходимые пароли пользователя централизованно хранятся в защищенном виде и при необходимости их применения выдаются системой только после строгой идентификации запросившего их пользователя.

– В чём польза такого подхода?

– Она очевидна. Во–первых, для решения вопросов адекватной сильной степени защиты от подбора пароля в АС постоянно усиливаются условия их использования. Пароли делаются более стойкими к взлому (растёт их сложность, периодичность смены), но при этом их надо помнить пользователю. Но если он забыл пароль – придётся затратить время как минимум на выполнение процедур официального сброса и смены пароля. Скажем так, на непрерывности бизнеса это сказывается не лучшим образом. При централизации управления доступом эта проблема исчезает. Во–вторых, все попытки доступа к системам фиксируются сразу в нескольких местах: непосредственно в АС и в ещё одной системе. Последняя отвечает за централизованное управление всеми учетными данными и аутентификаторами пользователей. Важно понимать, что хоть паролей становится всё больше, а они, в свою очередь, становятся всё сложнее, пользователю теперь нет необходимости запоминать их. Компонент клиентской части осуществляет перехват обращений пользователя к ресурсам, предлагая ему пройти универсальную процедуру аутентификации. В нашем случае это выражается к прикладыванию пальца к сканеру отпечатков. Если процедура пройдена успешно и доступ пользователю разрешен, агент передает логин и пароль запрашиваемому ресурсу. Такой подход становится исключительно полезным в фокусе усилении позиции нашего государства по обеспечению информационной безопасности при работе в системах содержащих сведения, относимые к персональным данным.

– Сдвинемся в сторону практики. Вы используете биометрическую аутентификацию. Сколько сэмплов вводится в базу? Всем известно, что если сэмпл только один, и сотрудник именно этот палец, к примеру, порезал, то авторизоваться не получится.

– Конечно, мы «подстраховались» на этот счёт. Изначально в базу по каждому сотруднику заносится 2 разных, пальца по одному на каждой руке. Такой подход оптимален при работе системы строгой идентификации в территориально удаленном подразделении, особенно если часовые пояса с  головным офисом не совпадают.  Это позволяет минимизировать случаи обращения пользователей по вопросам «нечитаемости» пальца.

– Как решается проблема с удалённым рабочим местом? К примеру, если есть необходимость работать из дома или в командировке. 

– ИБ банковского сектора придерживается  консервативных взглядов по вопросам удаленного доступа  сотрудников бизнес–подразделений к рабочим местам  извне. Поэтому масштабная удалённая работа не практикуется. Это скорее исключение, нежели правило. Тем не менее, если такая необходимость появится – я не вижу препятствий использования технологии  при работе в терминальной среде (RDP) или через Citrix. Ноутбуки, конечно же используются, и как правило в них существует встроенный биометрический сканер.   При отсутствии встроенного сканера в ноутбуке или планшете  сотрудник может  использовать либо мобильный вариант устройства сканирования отпечатка, либо проводить аутентификацию доступа используя иной способ идентификации: по одноразовой матрице доступа (ОТМ), Google OTP. Естественно перед использованием таких способов проводятся предварительные  настройки на конечном устройстве.

– Не жалуются ли сотрудники на все эти «новшества»?

– Напротив. Скажу без преувеличения – пользователи очень довольны. Пропала потребность передавать свои пароли по настоянию руководителя  в случае отсутствия сотрудника.  Бывают ситуации, когда специализированное прикладное ПО должно выполнить какую–то операцию (функционал) именно под конкретной учетной записью пользователя. Раньше сотруднику приходилось компрометировать свой пароль в случае своего отсутствия (например, заболел человек) и по телефону (просьбе руководителя или коллеги) сообщался свой пароль, хотя требования ИБ не позволяли этого делать. В общем,  заболевший сотрудник находился в ситуации: или нарушить требования ИБ или стать нелояльным по отношению к коллегам.  Теперь этот неловкий момент упразднен, все происходит только официальным путем через сброс пароля в АС с фиксацией события в подразделении ИБ.  Таким образом, с момента передачи пароля руководителю или коллеги вместо отсутствующего сотрудника, весь груз ответственности за операции, выполняемые под этой учетной записью, ложится уже на них.

Кроме того, сотрудники теперь не записывают свои пароли где–нибудь, они даже не могут их записать, так как просто не знают их. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.  Кстати политикой (настройками) АС можно задавать период смены паролей хоть  на ежедневной основе – это не будет напрягать ни пользователя, ни систему.

– Но идеальных технологий не бывает. Есть ли минусы у применяемой вами?

– Минус способа биометрической аутентификации по отпечатку пальца лично я вижу только один: это первоначальные затраты на покупку сканеров. В среднем затраты составляют около 3–4 тысяч рублей на одно рабочее место. И, конечно же, надо иметь небольшой запас таких сканеров на случайбыстрого роста количества пользователей или выхода из строя устройств. В остальном, одни только плюсы.

Сегодня любое решение, призванное помочь бизнесу или снизить его риски, рассматривается не только с позиции эффективности. Действует как минимум связка «ценакачество». В этом плане биометрическая аутентификация находится, пожалуй, на лидирующих позициях. Технология не идеальна – её можно обойти. Только вот стоимость взлома скорее всего окажется гораздо дороже той информации, которую злоумышленникам удастся заполучить.

– Спасибо.

В Апреле Егением Царевым было представлено вниманию общественности «Первое экспертное исследование российского рынка ИБ»

Во-первых выскажу уважение к проделанному обьемному труду. Безусловно, чем больше различных исследований будет проведено, чем больше будет диалога между экспертами, тем прозрачнее и эффективнее будет работать отрасль.

Во-вторых выскажу немного критики по одному из разделов исследования, в котором представлены самые близкие нашей компании продукты. Надеюсь это поможет сделать следующие работы лучше. Раздел называется «Рынок систем идентификации и аутентификации (IDM)».

Начну с название раздела, оно хуже некуда. Identity Management (IdM) системы занимаються управлением учетными записями пользователей и совсем не занимаются идентификацией либо аутентификацией.

Далее еще неприятнее. Экспертом в данном разделе выступил Александр Санин, руководитель одной из компаний, представленной в этом же разделе. Александр представляет свою компаню в этом разделе так:

Хотя это игрок [Avanpost] относительно новый, мы все же включили в данный обзор эту линейку продуктов, подробно изучив заявленные характеристики продукта, а также несколько успешных бизнес ­кейсов.

Александр, зачем вам изучать данную линейку продуктов? Вы же один из руководителей этой компании!

И это после заявления сделанного Евгением во вступлении к ислледованию:

Отличительной особенностью данного исследования является тот факт, что к его разработке приглашались не маркетинговые службы компаний и не руководство компаний, а конкретные эксперты, которые хорошо знают и понимают свой сегмент рынка.

Считаю, что в исследовании претендующим на непредвзятое и объективное освещение отрасли подобных «моментов» быть не должно в принципе. Надеюсь что критика будет воспринята и следующие исследования будут еше  лучше прежнего.